modeldriven是什么 如何检验struts2远程调用漏洞

灵霄玉女2022-11-23 19:02:451231

请问Java编程中,Struts2 和 Struts1 比较,有什么优势和区别呢?struts2给我们提供了什么?学习struts2到底学习他的什么东西??struts2的modeldriven有什么作用?struts2 中action是什么决定的?struts2 modeldriven拦截器配置中refreshmodelbeforeresult解决什么问题?

本文导航

简单介绍struts2框架执行流程

Apache Struts 2即是之前大家所熟知的WebWork 2。在经历了几年的各自发展后,WebWork和Struts社区决定合二为一,也即是Struts 2

Action 类:

Struts1要求Action类继承一个抽象基类。Struts1的一个普遍问题是使用抽象类编程而不是接口。

Struts 2 Action类可以实现一个Action接口,也可实现其他接口,使可选和定制的服务成为可能。Struts2提供一个ActionSupport基类去实现 常用的接口。Action接口不是必须的,任何有execute标识的POJO对象都可以用作Struts2的Action对象。

线程模式:

Struts1 Action是单例模式并且必须是线程安全的,因为仅有Action的一个实例来处理所有的请求。单例策略限制了Struts1 Action能作的事,并且要在开发时特别小心。Action资源必须是线程安全的或同步的。

Struts2 Action对象为每一个请求产生一个实例,因此没有线程安全问题。(实际上,servlet容器给每个请求产生许多可丢弃的对象,并且不会导致性能和垃圾回收问题)

Servlet 依赖:

Struts1 Action 依赖于Servlet API ,因为当一个Action被调用时HttpServletRequest 和 HttpServletResponse 被传递给execute方法。

Struts 2 Action不依赖于容器,允许Action脱离容器单独被测试。如果需要,Struts2 Action仍然可以访问初始的request和response。但是,其他的元素减少或者消除了直接访问HttpServetRequest 和 HttpServletResponse的必要性。

可测性:

测试Struts1 Action的一个主要问题是execute方法暴露了servlet API(这使得测试要依赖于容器)。一个第三方扩展--Struts TestCase--提供了一套Struts1的模拟对象(来进行测试)。

Struts 2 Action可以通过初始化、设置属性、调用方法来测试,“依赖注入”支持也使测试更容易。

捕获输入:

Struts1 使用ActionForm对象捕获输入。所有的ActionForm必须继承一个基类。因为其他JavaBean不能用作ActionForm,开发者经常创建多余的类捕获输入。动态Bean(DynaBeans)可以作为创建传统ActionForm的选择,但是,开发者可能是在重新描述(创建)已经存在的JavaBean(仍然会导致有冗余的javabean)。

Struts 2直接使用Action属性作为输入属性,消除了对第二个输入对象的需求。输入属性可能是有自己(子)属性的rich对象类型。Action属性能够通过web页面上的taglibs访问。Struts2也支持ActionForm模式。rich对象类型,包括业务对象,能够用作输入/输出对象。这种ModelDriven 特性简化了taglib对POJO输入对象的引用。

表达式语言:

Struts1 整合了JSTL,因此使用JSTL EL。这种EL有基本对象图遍历,但是对集合和索引属性的支持很弱。

Struts2可以使用JSTL,但是也支持一个更强大和灵活的表达式语言--"Object Graph Notation Language" (OGNL).

绑定值到页面(view):

Struts 1使用标准JSP机制把对象绑定到页面中来访问。

Struts 2 使用 "ValueStack"技术,使taglib能够访问值而不需要把你的页面(view)和对象绑定起来。ValueStack策略允许通过一系列名称相同但类型不同的属性重用页面(view)。

类型转换:

Struts 1 ActionForm 属性通常都是String类型。Struts1使用Commons-Beanutils进行类型转换。每个类一个转换器,对每一个实例来说是不可配置的。

Struts2 使用OGNL进行类型转换。提供基本和常用对象的转换器。

校验:

Struts 1支持在ActionForm的validate方法中手动校验,或者通过Commons Validator的扩展来校验。同一个类可以有不同的校验内容,但不能校验子对象。

Struts2支持通过validate方法和XWork校验框架来进行校验。XWork校验框架使用为属性类类型定义的校验和内容校验,来支持chain校验子属性

Action执行的控制:

Struts1支持每一个模块有单独的Request Processors(生命周期),但是模块中的所有Action必须共享相同的生命周期。

Struts2支持通过拦截器堆栈(Interceptor Stacks)为每一个Action创建不同的生命周期。堆栈能够根据需要和不同的Action一起使用。

Struts作为MVC 2的Web框架,自推出以来不断受到开发者的追捧,得到用广泛的应用。作为最成功的Web框架,Struts自然拥有众多的优点:

struts2自学入门

虽然Struts2号称是一个全新的框架,但这仅仅是相对Struts 1而言。Struts 2 与Struts 1相比,确实有很多革命性的改进,但它并不是新发布的新框架,而是在另一个赫赫有名的框架:WebWork基础上发展起来的。从某种程度上来讲,Struts2没有继承Struts 1的血统,而是继承WebWork的血统。或者说,WebWork衍生出了Struts2,而不是Struts 1衍生了Struts2。因为Struts2是WebWork的升级,而不是一个全新的框架,因此稳定性、性能等各方面都有很好的保证:而且吸收了Struts 1和WebWork两者的优势,因此,是一个非常值得期待的框架。  Apache Struts2是一个优雅的,可扩展的JAVA EE web框架。框架设计的目标贯穿整个开发周期,从开发到发布,包括维护的整个过程。  Apache Struts 2即是之前大家所熟知的WebWork 2。在经历了几年的各自发展后,WebWork和Struts社区决定合二为一,也即是Struts 2  Struts 2 英文学习网站: http://struts.apache.org/2.0.6/docs/guides.htmlStruts2和Struts1的不同   Action 类:  ◆Struts1要求Action类继承一个抽象基类。Struts1的一个普遍问题是使用抽象类编程而不是接口。  ◆Struts 2 Action类可以实现一个Action接口,也可实现其他接口,使可选和定制的服务成为可能。Struts2提供一个ActionSupport基类去实现 常用的接口。Action接口不是必须的,任何有execute标识的POJO对象都可以用作Struts2的Action对象。  线程模式:

  ◆Struts1 Action是单例模式并且必须是线程安全的,因为仅有Action的一个实例来处理所有的请求。单例策略限制了Struts1 Action能做的事,并且要在开发时特别小心。Action资源必须是线程安全的或同步的。  ◆Struts2 Action对象为每一个请求产生一个实例,因此没有线程安全问题。(实际上,servlet容器给每个请求产生许多可丢弃的对象,并且不会导致性能和垃圾回收问题)  Servlet 依赖:

  ◆Struts1 Action 依赖于Servlet API ,因为当一个Action被调用时HttpServletRequest 和 HttpServletResponse 被传递给execute方法。  ◆Struts 2 Action不依赖于容器,允许Action脱离容器单独被测试。如果需要,Struts2 Action仍然可以访问初始的request和response。但是,其他的元素减少或者消除了直接访问HttpServetRequest 和 HttpServletResponse的必要性。  可测性:  ◆测试Struts1 Action的一个主要问题是execute方法暴露了servlet API(这使得测试要依赖于容器)。一个第三方扩展--Struts TestCase--提供了一套Struts1的模拟对象(来进行测试)。  ◆Struts 2 Action可以通过初始化、设置属性、调用方法来测试,“依赖注入”支持也使测试更容易。  捕获输入:  ◆Struts1 使用ActionForm对象捕获输入。所有的ActionForm必须继承一个基类。因为其他JavaBean不能用作ActionForm,开发者经常创建多余的类捕获输入。动态Bean(DynaBeans)可以作为创建传统ActionForm的选择,但是,开发者可能是在重新描述(创建)已经存在的JavaBean(仍然会导致有冗余的javabean)。  ◆ Struts 2直接使用Action属性作为输入属性,消除了对第二个输入对象的需求。输入属性可能是有自己(子)属性的rich对象类型。Action属性能够通过web页面上的taglibs访问。Struts2也支持ActionForm模式。rich对象类型,包括业务对象,能够用作输入/输出对象。这种ModelDriven 特性简化了taglib对POJO输入对象的引用。  表达式语言:  ◆Struts1 整合了JSTL,因此使用JSTL EL。这种EL有基本对象图遍历,但是对集合和索引属性的支持很弱。  ◆Struts2可以使用JSTL,但是也支持一个更强大和灵活的表达式语言--"Object Graph Notation Language" (OGNL).  绑定值到页面(view):  ◆ Struts 1使用标准JSP机制把对象绑定到页面中来访问。  ◆Struts 2 使用 "ValueStack"技术,使taglib能够访问值而不需要把你的页面(view)和对象绑定起来。ValueStack策略允许通过一系列名称相同但类型不同的属性重用页面(view)。  类型转换:  ◆Struts 1 ActionForm 属性通常都是String类型。Struts1使用Commons-Beanutils进行类型转换。每个类一个转换器,对每一个实例来说是不可配置的。  ◆Struts2 使用OGNL进行类型转换。提供基本和常用对象的转换器。  校验:  ◆Struts 1支持在ActionForm的validate方法中手动校验,或者通过Commons Validator的扩展来校验。同一个类可以有不同的校验内容,但不能校验子对象。  ◆Struts2支持通过validate方法和XWork校验框架来进行校验。XWork校验框架使用为属性类类型定义的校验和内容校验,来支持chain校验子属性  Action执行的控制:  ◆Struts1支持每一个模块有单独的Request Processors(生命周期),但是模块中的所有Action必须共享相同的生命周期。  ◆Struts2支持通过拦截器堆栈(Interceptor Stacks)为每一个Action创建不同的生命周期。堆栈能够根据需要和不同的Action一起使用。

struts2完整配置

您好,实现了ModelDriven就必须实现getModel这个方法,该方法返回的是你的ModelDrivern泛型中设定的实体类。其实是为了实现代码的重用,不要再定义一次你在数据访问层定义的属性了,直接用那个类就行了。不过有时候也不是很需要这个东西,比如只有一两个表单域的时候。

struts2请求步骤

  struts2 中action是通过struts.xml配置文件来实现的。

Struts2中Action接收参数的方法主要有以下三种:

1.使用Action的属性接收参数:

a.定义:在Action类中定义属性,创建get和set方法;

b.接收:通过属性接收参数,如:userName;

c.发送:使用属性名传递参数,如:user1!add?userName=Magci;

2.使用DomainModel接收参数:

a.定义:定义Model类,在Action中定义Model类的对象(不需要new),创建该对象的get和set方法;

b.接收:通过对象的属性接收参数,如:user.getUserName();

c.发送:使用对象的属性传递参数,如:user2!add?user.userName=MGC;

3.使用ModelDriven接收参数:

a.定义:Action实现ModelDriven泛型接口,定义Model类的对象(必须new),通过getModel方法返回该对象;

b.接收:通过对象的属性接收参数,如:user.getUserName();

c.发送:直接使用属性名传递参数,如:user2!add?userName=MGC

如何检验struts2远程调用漏洞

  所谓ModelDriven,意思是直接把实体类当成页面数据的收集对象。比如,有实体类User如下:

  package cn.com.leadfar.struts2.actions;

  public class User {

  private int id;

  private String username;

  private String password;

  private int age;

  private String address;

  public String getUsername() {

  return username;

  }

  public void setUsername(String username) {

  this.username = username;

  }

  public String getPassword() {

  return password;

  }

  public void setPassword(String password) {

  this.password = password;

  }

  public int getAge() {

  return age;

  }

  public void setAge(int age) {

  this.age = age;

  }

  public String getAddress() {

  return address;

  }

  public void setAddress(String address) {

  this.address = address;

  }

  public int getId() {

  return id;

  }

  public void setId(int id) {

  this.id = id;

  }

  }

  

  假如要写一个Action,用来添加User。

  第一种做法是直接在Action中定义所有需要的属性,然后在JSP中直接用属性名称来提交数据:

  UserAction:

  public class UserAction {

  private int id;

  private String username;

  private String password;

  private int age;

  private String address;

  public String add(){

  User user = new User();

  user.setId(id);

  user.setUsername(username);

  user.setPassword(password);

  user.setAge(age);

  user.setAddress(address);

  new UserManager().addUser(user);

  return "success";

  }

  public int getId() {

  return id;

  }

  public void setId(int id) {

  this.id = id;

  }

  public String getUsername() {

  return username;

  }

  public void setUsername(String username) {

  this.username = username;

  }

  public String getPassword() {

  return password;

  }

  public void setPassword(String password) {

  this.password = password;

  }

  public int getAge() {

  return age;

  }

  public void setAge(int age) {

  this.age = age;

  }

  public String getAddress() {

  return address;

  }

  public void setAddress(String address) {

  this.address = address;

  }

  }

  

  add_input.jsp:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:add">

  username:<input type="text" name="username"> <br/>

  password:<input type="text" name="password"> <br/>

  age:<input type="text" name="age"> <br/>

  address:<input type="text" name="address"> <br/>

  <input type="submit" name="submit" value="添加用户">

  </form> <br/>

  

  上述做法不好之处是:如果实体类的属性非常多,那么Action中也要定义相同的属性。

  第二种做法是将User对象定义到UserAction中,然后在JSP中通过user属性来给user赋值:

  UserAction:

  public class UserAction {

  private User user;

  public String add(){

  new UserManager().addUser(user);

  return "success";

  }

  public User getUser() {

  return user;

  }

  public void setUser(User user) {

  this.user = user;

  }

  }

  

  add_input.jsp:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:add">

  username:<input type="text" name="user.username"> <br/>

  password:<input type="text" name="user.password"> <br/>

  age:<input type="text" name="user.age"> <br/>

  address:<input type="text" name="user.address"> <br/>

  <input type="submit" name="submit" value="添加用户">

  </form> <br/>

  

  这种做法不好的地方是:JSP页面上表单域中的命名变得太长

  第三种做法是利用ModelDriven机制,让UserAction实现一个ModelDriven接口,同时实现接口中的方法:getModel()。如下所示:

  public class UserAction implements ModelDriven{

  private User user;

  @Override

  public Object getModel() {

  if(user == null){

  user = new User();

  }

  return user;

  }

  public String add(){

  new UserManager().addUser(user);

  return "success";

  }

  public User getUser() {

  return user;

  }

  public void setUser(User user) {

  this.user = user;

  }

  }

  

  JSP的代码如下:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:add">

  username:<input type="text" name="username"> <br/>

  password:<input type="text" name="password"> <br/>

  age:<input type="text" name="age"> <br/>

  <input type="submit" name="submit" value="添加用户">

  </form> <br/>

  

  可见,第三种做法是比较好的,Action和JSP写起来都比较简单。

  2.ModelDriven背后的机制?

  ModelDriven背后的机制就是ValueStack。界面通过:username/age/address这样的名称,就能够被直接赋值给user对象,这证明user对象正是ValueStack中的一个root对象!

  那么,为什么user对象会在ValueStack中呢?它是什么时候被压入ValueStack的呢?答案是:ModelDrivenInterceptor(关于Interceptor的概念,请参考后续章节的说明)。ModelDrivenInterceptor是缺省的拦截器链的一部分,当一个请求经过ModelDrivenInterceptor的时候,在这个拦截器中,会判断当前要调用的Action对象是否实现了ModelDriven接口,如果实现了这个接口,则调用getModel()方法,并把返回值(本例是返回user对象)压入ValueStack。

  请看ModelDrivenInterceptor的代码:

  public class ModelDrivenInterceptor extends AbstractInterceptor {

  protected boolean refreshModelBeforeResult = false;

  public void setRefreshModelBeforeResult(boolean val) {

  this.refreshModelBeforeResult = val;

  }

  @Override

  public String intercept(ActionInvocation invocation) throws Exception {

  Object action = invocation.getAction();

  if (action instanceof ModelDriven) {

  ModelDriven modelDriven = (ModelDriven) action;

  ValueStack stack = invocation.getStack();

  Object model = modelDriven.getModel();

  if (model != null) {

  stack.push(model);

  }

  if (refreshModelBeforeResult) {

  invocation.addPreResultListener(new RefreshModelBeforeResult(modelDriven, model));

  }

  }

  return invocation.invoke();

  }

  

  从ModelDrivenInterceptor中,即可以看到model对象被压入ValueStack中!

  其中的refreshModelBeforeResult是为了接下来描述的一个问题而提供的解决方法。

理解常见的陷阱及解决办法

  假设我们要更新一个实体对象,那么第一步首先是打开更新界面,请看下述模拟打开更新界面的代码:

  public class UserAction implements ModelDriven{

  private User user;

  @Override

  public Object getModel() {

  if(user == null){

  user = new User();

  //user.setUsername("这是原来的User对象");

  }

  return user;

  }

  public String updateInput(){

  //根据ID,查询数据库,得到User对象

  user = new UserManager().findUserById(user.getId());

  return "update_input";

  }

  

  上述代码中,new UserManager().findUserById(user.getId());这一行,将从数据库中查询相应的记录,同时转换为User对象返回。而return “update_input”;将转向更新显示页面。

  更新页面如下:

  <form action="test/user.action" method="post">

  <input type="hidden" name="method:update">

  id:<input type="text" name="id" value="<s:property value="id"/>"> <br/>

  username:<input type="text" name="username" value="<s:property value="username"/>"><br/>

  password:<input type="text" name="password" value="<s:property value="password"/>"><br/>

  age:<input type="text" name="age" value="<s:property value="age"/>"> <br/>

  address:<input type="text" name="address" value="<s:property value="address"/>"><br/>

  <input type="submit" name="submit" value="更新用户">

  </form> <br/>

  

  上述代码运行起来之后,你在更新界面上将看不到数据(id属性有值,其它属性无显示)。关键的原因是在执行到updateInput之前,user对象(在getMode()方法中创建的对象)被压到ValueStack中,这时候,UserAction和ValueStack都指向同一个user对象;但紧接着,UserAction中的user被一个新的user对象覆盖,这时候,UserAction和ValueStack不再指向同一个user对象!ValueStack中是旧的user对象,而UserAction中是新的user对象!我们在JSP中,直接通过username/address等直接访问,当然是要访问ValueStack中的旧user对象,所以它们的属性都是空的(id属性除外)!

  理解上述问题很重要,当你理解了问题,那么问题的解决方法就可以有很多了:

  比如,你可以把新对象的属性拷贝到旧对象上;比如,你可以先把旧对象从ValueStack中移除,然后再把新对象压入ValueStack等……

  在最新的struts2版本中,ModelDrivenInterceptor提供了一个配置参数:refreshModelBeforeResult,只要将它定义为true,上述问题就被解决了!struts2的解决方案就是:先把旧的model对象从ValueStack中移除,然后再把新的model对象压入ValueStack!

扫描二维码推送至手机访问。

版权声明:本文由尚恩教育网发布,如需转载请注明出处。

本文链接:https://www.shane-english.com.cn/view/68704.html

标签: 生活
分享给朋友:

“modeldriven是什么 如何检验struts2远程调用漏洞” 的相关文章

南昌工业学校 南昌最好十大职业学校

南昌工业学校 南昌最好十大职业学校

南昌工学院怎么样啊?南昌中专学校有哪些学校,南昌工业学校和江西旅游贸易职业学院是一个地方吗?南昌工业技工学校,南昌公办3+2学校有哪些,1991年江西南昌有哪些中专。本文导航南昌工学院是正规专科吗南昌中专学校排名一览表江西旅游商贸职业学院算冷门吗南昌最好十大职业学校南昌有哪些公办三加二学校南昌有什么...

邢台学院是几本 邢台学院有一本学科吗

邢台学院是几本 邢台学院有一本学科吗

邢台学院是一本吗?邢台学院是几本,邢台学院如何?它要升为一本了吗?邢台学院是一本还是二本,邢台学院是一本还是二本,邢台学院国贸是几本。本文导航邢台学院是本科还是专科邢台学院是什么档次大学邢台学院接本简单吗邢台学院二本招多少人邢台学院二本招生邢台学院有一本学科吗邢台学院是本科还是专科是二本这是个有历史...

长沙实验中学 开平市职业中学有哪些

长沙实验中学 开平市职业中学有哪些

长沙市实验中学好吗?长沙市实验中学好不好?长沙高中有哪些学校,长沙市实验中学风气好吗?长沙实验中学2022年2114班是什么班,高一?开平市有多少个实验中学?本文导航长沙市岳麓实验中学好不好长沙市实验中学在湖南中学排名长沙高中有哪些好的长沙实验中学寄宿条件怎么样长沙实验中学插班生什么时候招生开平市职...

茂名市第十中学 茂名十中和五中录取分数线

茂名市第十中学 茂名十中和五中录取分数线

茂名市第十中学,茂名市第五中学好还是第十中好,2020年茂名市第十中学高中录取分数线,教师资格证高州考区在哪里?茂名第十中学2020录取分数线,茂名市第十中学2021年的录取分数线是多少啊?本文导航茂名市第十中学本科率茂名十中和五中哪家好茂名市十中录取分数线教师资格证茂名有考点吗茂名16中录取分数线...

喀什噶尔河 新疆喀什属于南疆还是北疆????

喀什噶尔河 新疆喀什属于南疆还是北疆????

新疆喀什在新疆什么地方啊?中国第一大内流河,也是世界第几大内流河,我国最长的内流河是,新疆喀什属于南疆还是北疆???,新疆喀什地区的气候特征是什么?喀什海拔是多少呢?本文导航新疆喀什在新疆什么地方啊?中国最短的内流河是哪个河我国内流最长的河是什么新疆喀什属于南疆还是北疆????新疆喀什地区的气候特征...

北方联合大学 北京联合大学是正规学历吗

北方联合大学 北京联合大学是正规学历吗

请问北方联合大学在什么地方?有口腔医学教育吗?谢谢?北京联合大学怎么样?东北有哪些“臭名昭著”的野鸡大学需要注意,北京联合大学真的很烂么?北京联合大学到底是几本,哈尔滨北方联合大学。是一所什么样的学校,这所学校是本科院校吗。是民办的好不好,谢谢有知道的告诉我?本文导航北华大学医学院口腔医学招生电话北...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。